Artikel-Schlagworte: „Facebook“

Virtuelle Freunde

Donnerstag, 29. Juli 2010

Freundschaften auf sozialen Netzwerken sind schnell geschlossen. Insbesondere, wenn der neue “Freund” mit mehreren der im wirklichen Leben guten Bekannten bereits virtuell verbandelt ist. Diese Tatsache machte sich der Security Consultant Thomas Ryan für ein Experiment zu nutze, das jetzt die Washington Times in einem interessanten Artikel nachgezeichnet hat.

Ryan erfand Robin Sage, eine Analystin für Cyberbedrohungen und erstellte in ihrem Namen eine Facebookseite, Twitter-Account und weitere virtuelle Präsenzen. Die notwendigen Fotos entnahm er einschlägigen Amateur-Pornowebsites. Anschließend wurden systematisch Online-Freundschaften geschlossen, insbesondere zu Angehörigen des Militärs und einschlägiger amerikanischer Sicherheitsbehörden sowie zu hochrangigen Angestellten von militärischen Ausrüstungsfirmen. Im weiteren Verlauf ging es der virtuellen Robin Sage darum, Informationen zu erhalten, welche die befreundeten Kreise aufgrund der virtuellen Freundschaft auch bereitwillig lieferten. Hierzu gehörten z.B. Fotos von Patrouillen aus Krisengebieten (inkl. eingebetteter GPS-Koordinaten im EXIF-Profil), private Details, z.B. Heimatadressen und Fotografien naher Familienangehöriger und viele weitere vertrauliche Informationen, die in der Folge social engineering Angriffe auf Dritte ermöglicht hätten.

Gerade die berufliche Erfahrung der Getäuschten hätte es ihnen leichtmachen müssen, die Tarnung zu erkennen. So gab Sage vor, 10 Jahre Erfahrung als Analystin zu haben, was bedeuten würde, dass sie bereits mit 15 Jahren eingestiegen wäre. Auch die Positionsbezeichnung auf ihrer Webseite existiert in der realen Behörde nicht. Der Name schließlich entstammt einer jährlichen Militärübung, was sich durch eine kurze Google Suche hätte herausfinden lassen. Einige der Kontaktierten kamen dann der Täuschung auch sehr schnell auf die Schliche. Allerdings gab (und gibt) es offenbar keine Möglichkeit, derartige Aktivitäten Angehörigen anderer Einrichtungen schnell und unkompliziert mitzuteilen und sie so zu warnen.

Während Ryan sein Experiment als “red team” Aktivität einschätzt, um die Sicherheit zu überprüfen, gab es in der Vergangenheit auch schon derartige Angriffe, um aktiv Informationen zu erlangen. So war etwa die Hisbollah auf die gleiche Weise an Informationen des israelischen Militärs gelangt. Über das Profil einer (erdachten) “Reut Zuckerman” konnte innerhalb kurzer Zeit Verbindungen zu über 200 aktiven Militärangehörigen und Reservisten aufgebaut werden. Auf diese Weise war es möglich, Informationen über die Aktivitäten bestimmter Einheiten, Namen und Zugehörigkeit zu Abteilungen, den einschlägigen Slang sowie Bildmaterial zu gewinnen.

Freunde Online

Mittwoch, 21. Juli 2010

Facebooks Tool Friendfinder ermöglicht es, E-Mail und Handy-Adressbücher durchsuchen zu lassen, um schnell herauszufinden, ob Freunde bereits auf Facebook mit einem Account vertreten sind, oder – falls dies noch nicht der Fall ist – sie unkompliziert einzuladen. Diese Praxis ist Datenschützern ein Dorn im Auge, denn dabei werden Daten auch von Nichtnutzern ohne deren Einwilligung erhoben und zu Vermarktungszwecken genutzt. Hamburgs Datenschutzbeauftragter Johannes Caspar hat daher nun ein Bußgeldverfahren gegen Facebook eingeleitet.

Zwar hätten auch andere soziale Netzwerke ähnliche Funktionen im Angebot, aber diese führen nach Ansicht von Caspar nicht dazu, dass Informationen dauerhaft abgelegt würden. Auch die weitere Nutzung dieser Informationen steht in der Kritik:

"Die Kontaktvorschläge, die Facebook in den Freundschaftseinladungen unterbreitet, geben durchaus Anlass zu der Vermutung, dass die aus den Adressbüchern der Nutzer erhobenen Daten auch zur Erstellung von Beziehungsprofilen von Nichtnutzern dienen."

Facebook hat nun bis zum 11. August Zeit, die Vorwürfe juristisch zu erwidern. Sollte das Bußgeldverfahren weitergeführt werden, drohen Strafen von bis zu 300.000 Euro.

Clickjacking bei Facebook

Montag, 21. Juni 2010

Mehrere hundertausen Facebook-Nutzer sollen einer so genannten Clickjacking-Attacke zum Opfer gefallen sein. Die Täter luden den “Gefällt mir” (“Like”) Button von Facebok in einem unsichtbaren iFrame nach. Klickt nun ein Nutzer vermeintlich auf den Facebook Button, klickt er in Wirklichkeit den manipulierten iFrame an. Dieser ändert die Statusmeldung bei Facebook, z.B. auf "User Noob likes LOL This girl gets OWNED after a POLICE OFFICER reads her STATUS MESSAGE.". Auch andere Nutzer, die auf den Status-Link klicken, werden ebenfalls auf die Clickjacking-Seite geleitet.

Das gleiche Verfahren wird auch in anderen Fällen von Clickjacking auf Facebook eingesetzt, z.B. mit dem Hinweis auf die “101 heißesten Frauen der Welt”. Auch dort wird mit Hilfe eines iFrames der Nutzer überlistet, auf einen eigentlich gar nicht gewollten Link zu klicken.

Es ist nicht genau bekannt, welchen Zweck die Täter mit der Aktion verfolgt haben. Prinzipiell lässt sich ein solcher Angriff dazu nutzen, um den getäuschten Nutzern präparierte Webseiten unterzuschieben, die versuchen, Trojaner auf dem betreffendem System zu installieren. Da in den vorliegenden Fällen vor allem Traffic generiert wird und andere Nutzer verlockt werden, ebenfalls auf den Trick hereinzufallen, werden die Clickjacking-Fälle bei den Antivirensoftware-Herstellern als “Wurm” geführt.

Jihad auf Facebook

Dienstag, 1. Juni 2010

Die Ideologien von Terroristen werden seit langer Zeit nicht nur in abgeschotteten jihadistischen Web-Foren verbreitet, auf die lediglich eingeweihte Zugriff haben. Auch auf YouTube und anderen populären Netzwerken finden sich einschlägige Werbe-, Rechtfertigungs- und Glorifizierungsdokumente. Das FBI befürchtet nun, dass sich diese Tendenz auch auf andere populäre soziale Netzwerke, wie z.B. Facebook ausweiten könnte.

Soziale Netzwerke sind in der Lage und werden auch dazu genutzt, Gleichgesinnte zusammenzubringen, sei es für Zwecke der Radikalisierung, der Rekrutierung oder anderer terroristischer Ziele

sagt Tom Osborne, der Leiter der Counterterrorism Internet Trageting Unit (CITU) beim FBI. Zwar habe z.B. Facebook eine klare Strategie, um gegen extremistische, insbesondere gegen terroristische Inhalte vorzugehen, dennoch gebe es nach wie vor vielfältige einschlägige Angebote, z.B. die Gruppe “Jihad in the way of god”, die über 1.200 Mitglieder zähle. Die vermeintliche Anonymität und Sicherheit des Internet schüfen ein Klima, das ideal sei, um Gleichgesinnte über das Internet zu treffen.

Facebook AGB, v04/2010

Dienstag, 30. März 2010

In einer vor kurzem veröffentlichten groß angelegten Untersuchung von Stiftung Warentest waren Datensicherheit und die Datenschutzbestimmungen der großen sozialen Netzwerke näher unter die Lupe genommen worden. Insbesondere die amerikanischen Firmen hatten dabei besonders schlecht abgeschnitten,  da sie zwar die Nutzerrechte weitestmöglich (und nach deutschem Verständnis zum Teil auch darüber hinaus) beschränken, gleichzeitig sich selbst jedoch weitreichende eigene Rechte einräumen.

Facebook hat nun eine Neufassung seiner Datenschutzregelungen angekündigt. Nach dem gegenwärtigen Entwurf sieht der Betreiber jetzt das Recht für sich vor, “anderen überprüften Webseiten … allgemeine Daten” über den Nutzer automatisiert zur Verfügung zu stellen. Hierzu sei Facebook “gelegentlich gezwungen”, damit Nutzer “auch außerhalb von Facebook nützliche Erfahrungen im sozialen Bereich machen” könnten. Der automatische Datentransfer soll nur stattfinden, wenn der Nutzer gegenwärtig bei Facebook eingeloggt ist und es sich um eine Website handelt, die ein besonderes Zulassungsverfahren bei Facebook durchlaufen hat. Dabei sollen zwischen der Drittsite und Facebook “gesonderte Vereinbarungen” abgeschlossen werden, die dem Datenschutz dienen sollen.

Schon im oben erwähnten Test war Facebook aufgrund seiner sehr freizügigen Datenweitergabepraxis negativ aufgefallen. Nach Aussage von Hubertus Primus, Bereichsleiter bei Stiftung Warentest, bestehe bei den amerikanischen Einrichtungen ein “grundsätzlich anderes Verständnis von Datenschutz”. Insbesondere durch die freizügige Weitergabe an Dritte auch im außereuropäischen Auslande würde “dem Missbrauch Tür und Tor geöffnet”, etwa wenn Facebook-Daten im Rahmen von beliebten Spielen zur Verfügung gestellt würden. Zudem, so ergänzt Holger Brackemann, Untersuchungsleiter bei Stiftung Warentest, habe das Portal “eine 180-Grad-Wende zum Negativen hingelegt”, da es persönliche Informationen grundsätzlich erst einmal für alle zugänglich mache. Erst wenn der Nutzer über ein schwierig auffindbares und nur kompliziert zu bedienendes Menü seine Einstellungen ändert, kann dies abgestellt werden.

Auch für die automatische Datenweitergabe in den neuen AGB ist offenbar ein Opt-Out geplant, d.h. die Zustimmung gilt als erteilt, wenn der Nutzer nicht automatisch widerspricht. Zu den weitergereichten Informationen gehören u.a. Profilbilder, Geschlecht sowie Verbindungen. Das deutsche Datenschutzrecht hat vom Umgang mit personenbezogenen Daten eigentlich eine andere Vorstellung…